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Verfahren zur Einstelluna einer Dateniibertraaungsrate 

in einem Feldbussvstem 

Die vorliegende Erfindung betrifft ein Verfahren zur Einstel- 
lung einer Dateniibertragungsrate in einem Feldbussystem, das 
zur Steuerung sicherheitskritischer Prozesse geeignet ist und 
das zumindest einen an einem Feldbus angeschlossenen Teilnehmer 
umfaflt. Die Erfindung betrifft ferner ein Feldbussystem zur 



Steuerung sicherheitskritischer Prozesse, mit einem Feldbus, an 
dem zumindest ein Teilnehmer angeschlossen ist. 

Feldbussysteme der vorgenannten Art werden seit langem in den 
verschiedensten Gebieten und fur unterschiedlichste Zwecke ein- 
gesetzt. Unter einem Feldbussystem versteht man dabei allgemein 
ein System zur Datenkommunikation, an das im Idealfall beliebi- 
ge Teilnehmer angeschlossen werden konnen, die uber den gemein- 
samen Feldbus miteinander kommunizieren . Die Kommunikation der 
Teilnehmer erfolgt auf dem Feldbus anhand von spezif izierten 
Protokollen. Ein derartiges Kommunikationssystem steht im Ge- 
gensatz zu einer individuellen Punkt-zu-Punkt-Kommunikations- 
verbindung zwischen jeweils zwei Teilnehmern, von deren Kommu- 
nikation miteinander andere Teilnehmer vollstandig ausgeschlos- 
sen sind. Beispiele fur bekannte Feldbussysteme sind der soge- 
nannte CAN-Bus, der sogenannte Profibus oder der sogenannte In- 
terbus . 

Obwohl die Verwendung von Feldbussen zahlreiche Vorteile vor 
allem in Hinblick auf den ansonsten erf order lichen , hohen Ver- 
kabelungsaufwand besitzt, war deren Verwendung im praktischen 
Einsatz zur Steuerung von sicherheitskritischen Prozessen bis- 
lang nicht moglich. Der Grund hierfur war, daB die Feldbusse 
angesichts ihrer fiir beliebige Teilnehmer frei zuganglichen 
Struktur die zur Steuerung sicherheitskritischer Prozesse er- 
forderliche Fehlersicherheit nicht gewahrleisten konnten. Die 
Anmelderin hat mittlerweile jedoch ein Feldbussystem entwik- 
kelt, das auch den Anf orderungen fiir sicherheitskritische Pro- 
zesse geniigt . 



Unter einem sicherheitskritischen ProzeB wird vorliegend ein 
ProzeB verstanden, von dem bei Auftreten eines Fehlers eine 
nicht zu vernachlassigende Gefahr fur Mensch oder auch materi- 
elle Giiter ausgeht. Bei einem sicherheitskritischen ProzeB muB 
daher mit im Idealfall hundertprozentiger Sicherheit gewahrlei- 
stet sein, daB der ProzeB bei Vorliegen eines Fehlers in einen 
sicheren Zustand uberfuhrt wird. Derartige sicherheitskritische 
Prozesse konnen auch Teilprozesse von groBeren, ubergeordneten 
Gesamtprozessen sein. Beispiele fiir sicherheitskritische Pro- 
zesse sind chemische Verfahren, bei denen kritische Parameter 
unbedingt in einem vorgegebenen Bereich gehalten werden miissen 
oder auch komplexe Maschinensteuerungen, wie etwa die einer hy- 
draulischen Presse oder einer gesamten FertigungsstraBe . Bei 
einer hydraulischen Presse kann beispielsweise die Materialzu- 
fiihrung ein sicherheitsunkritischer TeilprozeB, das Inbetrieb- 
nehmen des PreBwerkzeugs demgegenuber ein sicherheitskritischer 
TeilprozeB im Rahmen des Gesamtprozesses sein. Weitere Beispie- 
le fiir sicherheitskritische ( Teil- ) Prozesse sind die Uberwa- 
chung von Schutzgittern, Schutzturen oder Lichtschranken, die 
Steuerung von Zwei-Hand-Schaltern oder auch die Reaktion auf 
Not-Aus-Schalter . 

Eine der wichtigsten Forderungen an ein Feldbussystem zur 
Steuerung sicherheitkritischer Prozesse ist eine definierte und 
schnelle Reaktionszeit , die bei den bekannten Systemen zur Da- 
tenubertragung, beispielsweise liber Modem, keine Rolle spielt. 
Ein solches Feldbussystem muB in der Lage sein, innerhalb einer 
vorgegebenen definierten Reaktionszeit, beispielsweise nach dem 
Betatigen eines Not-Aus-Schalters , den ProzeB anzuhalten bzw. 
zu unterbrechen, urn moglichen Schaden zu vermeiden. Die er- 
reichbare Reaktionszeit hangt im wesentlichen von der Ubertra- 



gungsrate des Feldbussystems ab. Eine hohe Dateniibertragungsra- 
te fiihrt zu einer kurzen Reaktionszeit , da die Belastung des 
Feldbusses im Vergleich zu geringeren Dateniibertragungsraten 
bei gleicher Anzahl von Teilnehmern sinkt. Damit verringert 
sich auch die Zeitdauer, die ein Teilnehmer maximal auf die 
Freigabe des Feldbuses fur die eigene Ubertragung von Daten 
warten mu/3. 

Aus diesem Grund ist es wiinschenswert, mit einer moglichst gro- 
J3en Dateniibertragungsrate zu arbeiten. Dabei ergibt sich jedoch 
das Problem, da/3 mit zunehmender Dateniibertragungsrate die Qua- 
litat der Ubertragung zwischen dem Sender und dem am weitesten 
entfernt liegenden Teilnehmer abnimmt. 

Es zeigt sich also, da/3 der Einstellung der Dateniibertragungs- 
rate in einem Feldbussystem zur Steuerung sicherheitkritischer 
Prozesse eine au/3erst wichtige Rolle zukommt. Bisher wurde die 
Dateniibertragungsrate in Feldbussystemen manuell eingestellt, 
indem entsprechend vorgesehene Einstellvorrichtungen an den 
Teilnehmern des Feldbussystems vorgesehen waren. Es handelte 
sich bei diesen Einstellvorrichtungen beispielsweise urn DIP- 
Schalter . 

Wie sich ohne weiteres ergibt, ist die Einstellung der Daten- 
iibertragungsrate auf diese Weise sehr aufwendig und auch feh- 
lertrachtig. So ist es insbesondere bei groflen Feldbussystemen 
mit vielen Teilnehmern nicht unwahrscheinlich , da/3 die Daten- 
iibertragungsrate bei einem Teilnehmer ver sehent lich falsch ein- 
gestellt wird. Dies hat dann zur Folge, da/3 dieser Teilnehmer 
nicht iiber den Feldbus kommunizieren kann. Bei sicherheitskri- 
tischen Prozessen konnte dies zu fatalen Folgen fiihren. 
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Da die maximal mogliche Dateniibertragungsrate mit der Lange der 
Dateniibertragungsstrecke sinkt, ist es bei einer Erweiterung 
eines bestehenden Feldbussystems haufig notwendig, die Daten- 
iibertragungsrate herabzusetzen, so da/3 auch die am weitesten 
entfernt angeordneten Teilnehmer noch kommunizieren konnen. 
Dies fiihrt jedoch dazu, dafl die Dateniibertragungsrate an alien 
Teilnehmern des Feldbussystems herabgesetzt werden muJ3, da die 
mit einem Feldbus verbundenen Teilnehmer grundsatzlich mit der 
gleichen Dateniibertragungsrate senden miissen. 

Die Aufgabe der vorliegenden Erfindung besteht deshalb darin, 
das eingangs erwahnte Verfahren zur Einstellung einer Daten- 
iibertragungsrate und das eingangs erwahnte Feldbussystem so 
weiterzubilden, da£ eine einfache und flexible Einstellung er- 
zielbar ist, wobei insbesondere die Reaktionszeit des Feldbus- 
systems innerhalb des geforderten Rahmens bleibt. Die Einstel- 
lung der Dateniibertragungsrate darf insbesondere keinen Einflu/3 
auf die Sicherheit des Feldbussystems haben. 

Die der Erfindung zugrunde liegende Aufgabe wird bei einem Ver- 
fahren der eingangs genannten Art dadurch gelost, da!3 sich 
der/die Teilnehmer in einer ersten Phase mit einer niederen er- 
sten Dateniibertragungsrate bei einer zentralen am Feldbus ange- 
schlossenen Einheit ( Zentraleinheit ) anmelden, und da!3 die Zen- 
traleinheit in einer zweiten Phase die Dateniibertragungsrate 
bei dem/den Teilnehmer ( n ) auf einen vorgegebenen hoheren zwei- 
ten Wert setzt. 

Unter Teilnehmer ist im Zusammenhang mit der vorliegenden Er- 
findung jegliche Einheit zu verstehen, die mit dem Feldbus ver- 
bunden ist. So werden sowohl Steuerungseinheiten (Clients) als 




6 

auch Signaleinheiten (Server) als Teilnehmer bezeichnet. Eine 
Unterscheidung zwischen Steuerungseinheiten und Signaleinheiten 
ist zur Erlauterung der vorliegenden Erfindung nicht notwendig. 

Der Vorteil der vorliegenden Erfindung liegt darin, daii mittels 
der Zentraleinheit eine Einstellung der Datenubertragungsrate 
moglich wird, die auch sicherheitskritischen Forderungen ent- 
spricht. So wird nach Einschalten des Feldbussystems zunachst 
gepriift, welche Teilnehmer mit dem Feldbus verbunden sind. 
Hierzu bedient sich die Zentraleinheit der geringsten Daten- 
ubertragungsrate, beispielsweise 20 kBaud. Die geringe Daten- 
ubertragungsrate gewahrleistet , daJ3 unabhangig von der Daten- 
iibertragungsstrecke alle Teilnehmer erreichbar sind, Anschlie- 
J3end sendet die Zentraleinheit ein Telegramm an die verbundenen 
Teilnehmer, mit dem Befehl, die Datenubertragungsrate auf einen 
vorgegebenen hoheren Wert (Zielwert) zu erhohen. Dieser Ziel- 
wert ist so gewahlt, dai3 alle sicherheitskritischen Parameter, 
wie beispielsweise Busbelastung, Reaktionszeit etc. erfullt 
bleiben. Das Einstellen der Datenubertragungsrate ist damit ab- 
geschlossen . 

Das erf indungsgemafie Verfahren laflt mithin eine sehr einfache 
und flexible Eistellung der Datenubertragungsrate zu, ohne ma- 
nuelle Eingriffe an den einzelnen Teilnehmern vornehmen zu mus- 
sen. Der Anwender kann vielmehr die fiir das vorhandene Feldbus- 
system zulassigen ( zuvor als sicher ermittelten) Datenubertra- 
gungsraten an der Zentraleinheit einstellen. Die Aufgabe der 
Erfindung wird also vollkommen gelost. 

In einer bevorzugten Weiterbildung der Erfindung melden sich 
der/die Teilnehmer in einer dritten Phase mit der hoheren Da- 



teniibertragungsrate erneut bei der Zentraleinheit an und schal- 
tet die Zentraleinheit den Feldbus ab, wenn sie eine Abweichung 
der Anzahl der in der ersten und der dritten Phase angemeldeten 
Teilnehmer f eststellt . 

Diese MaJ3nahme hat den Vorteil, da!3 die Sicherheit des Feldbus- 
systems erhoht wird. Sollte namlich ein in der ersten Phase an- 
gemeldeter Teilnehmer keine neue Anmeldung mit der hoheren Da- 
teniibertragungsrate vornehmen konnen, beispielsweise weil er zu 
weit vom Sender entfernt liegt, wird der Feldbus sofort abge- 
schaltet. Der uber das Feldbussystem gesteuerte Prozefl wird in 
Antwort darauf in einen sicheren Zustand uberfiihrt. 

In einer bevorzugten Weiterbildung der Erfindung wird die erste 
Phase mit dem Einschalten des Feldbussystems gestartet. 

Diese MaBnahme hat den Vorteil, daJ3 die Dateniibertragung mit 
der niederen ersten Dateniibertragungsrate in einem Stadium er- 
folgt, in dem der zu steuernde sicherheitskritische Prozefl noch 
nicht lauft, so daB die kurzfristig vorhandene geringe Daten- 
iibertragungsrate und die damit verbundene langere Reaktionszeit 
unkritisch ist. 

In einer bevorzugten Weiterbildung sendet die Zentraleinheit in 
der zweiten Phase an alle Teilnehmer Datentelegramme , die den 
Befehl zur Umschaltung der Dateniibertragungsrate auf den zwei- 
ten Wert enthalten. Bevorzugt beendet die Zentraleinheit die 
dritte Phase, wenn seit der letzten Anmeldung eines Teilnehmers 
eine vorgegebene Zeitdauer ohne neue Anmeldung eines Teilneh- 
mers vergangen ist. 
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Diese MaJ3nahmen haben den Vorteil, dafl der Einstellvorgang der 
Datenvibertragungsrate iiber das Versenden von Datentelegrammen 
die vorhandenen Sicherheitsmechanismen im Feldbussystem nutzt, 
so daJ3 die Wahrscheinlichkeit einer fehlerhaften Einstellung 
einer Datenvibertragungsrate sehr gering ist. 

Besonders bevorzugt ist als erster Wert der Datenubertragungs- 
rate die Standard-Ubertragungsrate , beispielsweise 20 kBaud und 
als zweiter Wert der Zielwert des Feldbussystems , beispielswei- 
se 250 kBaud. Diese Werte haben sich in der Praxis als beson- 
ders vorteilhaft herausgestellt . 

In einer bevorzugten Weiterbildung erfafit ein nach Ablauf der 
dritten Phase mit dem Feldbus verbundener neuer Teilnehmer die 
Datenvibertragungsrate auf dem Feldbus und meldet sich mit die- 
ser Datenvibertragungsrate bei der Zentraleinheit an. 

Diese Mafinahme hat den Vorteil, daJ3 das Feldbussystem nicht 
komplett abgeschaltet werden muJ3, urn einen neuen Teilnehmer an- 
schlieflen zu konnen. Sollte es dem Teilnehmer nicht moglich 
sein, sich bei der Zentraleinheit anzumelden, kann das Feldbus- 
system neu gestartet werden, um den Vorgang der Einstellung der 
Datenvibertragungsrate neu ablauf en zu lassen, wobei dann ein 
neuer zweiter Wert verwendet werden kann. 

Die der Erfindung zugrunde liegende Aufgabe wird bei einem 
Feldbussystem der eingangs genannten Art dadurch geldst, da/3 
eine Zentraleinheit vorgesehen ist, die viber den Feldbus mit 
den Teilnehmern kommuniziert und eine Umschalteinrichtung um- 
faJ3t, um die Dateniibertragungsrate auf dem Feldbus und bei den 



Teilnehmern von einem ersten niederen Wert auf einen zweiten 
hoheren Wert umzustellen . 

Dieses erf indungsgemaBe Feldbussystem ermoglicht durch die nur 
einraal im System vorhandene Zentraleinheit eine sehr einfache 
Einstellung der Dateniibertragungsrate , die von alien am Feldbus 
angeschlossenen Teilnehmern ubernommen wird. Sofern ein oder 
mehrere Teilnehmer nicht in der Lage sind, sich mit der von der 
Umschalteinrichtung vorgegebenen hoheren Dateniibertragungsrate 
erneut bei der Zentraleinheit anzumelden, wird das Feldbussy- 
stem sofort abgeschaltet . Der durch das Feldbussystem gesteuer- 
te sicherheitskritische Prozei3 wird so in einen sicheren Zu- 
stand uberfuhrt, so da/3 es durch den nicht oder fehlerhaft 
ubertragenden Teilnehmer nicht zu Schaden koitimen kann. 

In einer bevorzugten Weiterbildung weist die Zentraleinheit ei- 
ne erste Speichereinheit auf, in der der erste und der zweite 
Wert der Dateniibertragungsrate abgelegt ist. Bevorzugt umfaflt 
die Zentraleinheit eine zweite und eine dritte Speichereinheit 
zur Speicherung von Anmeldedaten, wobei die Anmeldedaten von 
den am Feldbus angeschlossenen Teilnehmern iibermittelt werden. 
Weiter bevorzugt umfaflt die Zentraleinheit eine Vergleicherein- 
richtung, die die in der zweiten und dritten Speichereinheit 
gespeicherten Anmeldedaten vergleicht, wobei die Zentraleinheit 
bei einer Nicht-Ubereinstimmung eine Abschaltung des Feldbusses 
durchf iihrt . 

Weiter bevorzugt umfaJ3t die Zentraleinheit eine ZeitmeBeinrich- 
tung, die mit der Vergleichereinrichtung verbunden ist und den 
Vergleich nach Ablauf einer vorgegebenen Zeit seit dem Hoch- 
setzen der Dateniibertragungsrate initiiert. 



Diese Maflnahmen haben sich im Hinblick auf die Funktionsweise 
des Feldbussystems als besonders vorteilhaft herausgestellt . 

In einer bevorzugten Weiterbildung ist der Feldbus ein seriel- 
ler Bus, vorzugsweise ein CAN-Bus. 

CAN-Busse werden, wie erwahnt, bereits in groJ3em Umfang einge- 
setzt, so daJ3 entsprechende Steuerbausteine, beispielsweise 
Buscontroller, als Standardbausteine zum Aufbau eines erfin- 
dungsgemaBen Feldbussystems kostenglinstig erhaltlich sind. 

In einer bevorzugten Weiterbildung weist der Teilnehmer eine 
Erkennungseinrichtung auf, die die Dateniibertragungsrate erfaflt 
und die Dateniibertragungsrate des Teilnehmers in Antwort darauf 
einstellt • 

Diese Mafinahme hat den Vorteil, da!3 ein Teilnehmer an den Feld- 
bus angeschlossen werden kann, ohne das Feldbussystem neu zu 
starten. Vielmehr erfaflt der Teilnehmer die Dateniibertragungs- 
rate auf dem Feldbus und stellt diese fur die eigene Ubertra- 
gung entsprechend ein. Mit anderen Worten synchronisiert sich 
der neu angeschlossene Teilnehmer auf den laufenden Feldbus 
auf, ohne diesen jedoch zu storen. Sobald der Teilnehmer die 
passende Dateniibertragungsrate gefunden hat, meldet er sich bei 
der Zentraleinheit an. 

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich 
aus der Beschreibung und der beiliegenden Zeichnung. 

Es versteht sich, daJ3 die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 



angegebenen Kombination, sondern auch in anderen Korabinationen 
oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 

Die Erfindung wird nun anhand eines Ausf uhrungsbeispiels mit 
Bezug auf die Zeichnung naher erlautert. Dabei zeigen: 

Fig, 1 ein Blockschaltdiagramm eines erf indungsgemaflen 
Feldbussystems mit zwei Teilnehmern und einer Zen- 
traleinheit ; 

Fig. 2 ein Blockschaltdiagramm einer Einheit der Zen- 
traleinheit ; und 

Fig, 3 ein Ablauf diagramm zur Erlauterung des erf indungsge- 
maJ3en Verf ahrens . 

In Fig. 1 ist ein sicheres Feldbussystem mit daran angeschlos- 
senen Busteilnehmern mit der Bezugsziffer 10 gekennzeichnet . 
Das Feldbussystem 10 ist im vorliegenden Ausf uhrungsbeispiel 
ein sogenanntes CAN-Feldbussystem 11 ( im folgenden kurz Bussy- 
stem genannt) . 

Das Bussystem 11 umfafit mehrere Busteilnehmer 12, 14, die iiber 
einen sogenannten Feldbus 20 (im folgenden auch Bus genannt) 
elektrisch miteinander verbunden sind. Bei einem CAN-Bussystem 
besteht dieser Bus aus einer Zweidrahtleitung . 

Bei den Busteilnehmern 12 , 14 kann es sich um sogenannte Steu- 
ereinheiten (auch Client genannt) oder sogenannte Signaleinhei- 
ten (auch Server genannt) handeln. Rein beispielhaft sei ange- 
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nommen, daJ3 der Busteilnehmer 12 eine Steuereinheit 13 und der 
Busteilnehmer 14 eine Signaleinheit 15 bildet. 

Ein solches Bussystem 11 ist beispielsweise dazu geeignet, be- 
stimmte Prozesse zu steuem. Das zur Steuerung notwendige Steu- 
erprogramm lauft dabei in der Steuereinheit 13 ab, die von Si- 
gnaleinheiten 15 Daten, beispielsweise Meflwerte ubermittelt be- 
kommt, diese verarbeitet und entsprechende Steuersignale an Si- 
gnaleinheiten 15 sendet. Signaleinheiten 15 konnen beispiels- 
weise mit Sensoren und/oder Aktoren verbunden sein. Grundsatz- 
lich dienen also die Signaleinheiten als Ein/Ausgabe-Einheiten 
(E/A-Einheiten) , wahrend die Steuereinheiten 13 die Verarbei- 
tung der Meflwerte vornehmen und in Antwort darauf die Durchfiih- 
rung definierter Aktionen veranlassen. 

Die Kommunikation der Busteilnehmer 12 , 14, d.h. die Ubertra- 
gung der Daten liber den Bus 20 erfolgt nach bestimmten Regeln, 
sogenannten Protokollen. Im vorliegenden Ausf uhrungsbeispiel 
erfolgt die Dateniibertragung entsprechend dem CAN-Protokoll , 
das bekannt ist und aus diesem Grund nicht weiter beschrieben 
werden soli . 

Jeder Busteilnehmer 12, 14 weist zur Steuerung des iiber den Bus 
2 0 laufenden Datenverkehrs einen sogenannten Controller- 
Baustein 16 auf, der die Verbindung zum Bus 20 herstellt und 
der zu ubertragende Nutzdaten in protokollgemafle Datenrahmen 
verpackt und diese auf den Bus 20 zur Ubertragung gibt. Es han- 
delt sich bei diesen Controller-Bausteinen 16 urn Standardele- 
mente, die von unterschiedlichen Herstellern angeboten werden. 
Auf deren Aufbau soli aus diesem Grund nicht weiter eingegangen 
werden . 
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Die zu ubertragenden Nutzdaten, beispielsweise MeBsignale oder 
Steuerbef ehle, werden von Einheiten 17, 18 geliefert. Diese 
Einheiten 17, 18 konnen die unterschiedlichsten Funktionen aus- 
fiihren und entsprechend unterschiedlich aufgebaut sein. Im vor- 
liegenden Ausf uhrungsbeispiel sei die der Steuereinheit 13 zu- 
geordnete Einheit 17 als Mikrocontroller ausgebildet, der ent- 
sprechend definierten Algorithmen Berechnungen durchfiihrt, wah- 
rend die der Signaleinheit 15 zugeordnete Einheit 18 beispiels- 
weise ein A/D-Wandler ist, der von einem Sensor gelieferte MeB- 
signale in digitale Signale umwandelt. 

Die Fig. 1 laJ3t erkennen, daB die Steuereinheit 13 sowie die 
Signaleinheit 15 mit weiteren Einheiten 17' und 18' versehen 
sind. Die beiden zusatzlichen Einheiten 17' , 18' sollen die 
gleichen Funktionen wie die entsprechenden Einheiten 17 bzw. 18 
ausfuhren, um auf diese Weise ein redundantes System zu errei- 
chen. Je nach Anwendungsf all sind die zusatzlichen Einheiten 
17', 18' identisch zu den Einheiten 17 bzw. 18 aufgebaut 
(redundantes System). Je nach Anwendungsf all lassen sich die 
Einheiten 17, 17 1 und 18 , 18' auch als diversitare Systeme auf- 
bauen, wobei die jeweils gleiche Funktionalitat aufweisenden 
zusatzlichen Einheiten 17' und 18' gegenliber den anderen Ein- 
heiten 17, 18 mit anderen Prozessoren bzw. Prozessoren anderer 
Hersteller aufgebaut sind. 

Diese redundanten oder diversitaren Systeme 17, 17' bzw. 18, 
18' prufen sich fortlaufend und melden sofort einen Fehler, 
wenn Unstimmigkeiten auftreten. Dariiber hinaus sorgen sie da- 
fiir, daB bei Ausf all einer Einheit 17, 18 der Busteilnehmer 12, 
14 insgesamt nicht ausfallt, so daB definiert abgeschaltet wer- 
den kann. 



Wie sich aus den bekannten CAN-Protokollen ergibt, fuhren die 
Controller-Bausteine 16 Fehlerpruf ungen durch, um fehlerhafte 
Dateniibertragungen zu erkennen. Ein Beispiel einer Fehlerprii- 
fung ist beispielsweise der sogenannte "Cyclic Redundancy 
Check" (CRC). 

Um ein solches Bussystem auch zur Steuerung sicherheitskriti- 
scher Prozesse einsetzen zu konnen, sind neben der vorgenannten 
Fehleriiberpruf ung durch die Controller-Bausteine 16 weitere 
MaBnahmen zur Erhohung der Sicherheit notwendig. Diese zusatz- 
lichen Fehlerpruf ungs- und Fehlerkorrektur-Mechanismen sind in 
den Einheiten 17 , 17' und 18 , 18' implement iert . So kann es 
sich beispielsweise um zusatzliche CRC-Berechnungen handeln. Zu 
den weiteren Aufgaben der Einheiten 17, 17* , 18 und 18 1 gehort 
beispielsweise auch die Uberwachung anderer sicherheitsrelevan- 
ter Parameter, beispielsweise einer Reaktionszeit des Busteil- 
nehmers oder auch Timeouts. Da es fur das Verstandnis der Er- 
findung nicht erf order lich ist, wird auf eine genauere Be- 
schreibung dieser Mechanismen verzichtet. Die Einheiten 17, 
17 1 , 18 und 18' sorgen zusammen mit den Controller-Bausteinen 
16 mithin dafiir, daJ3 eine nahezu hundertprozentige Fehlersi- 
cherheit bzw. ein hoher Fehlerauf deckungsgrad erzielt wird. 

In Fig. 1 ist eine Linie 19 gestrichelt dargestellt, die die 
beiden Busteilnehmer 12, 14 in einen oberen sicheren Teil und 
einen unteren nicht sicheren Teil trennt. Der nicht-sichere 
Teil umfaBt die Controller-Bausteine 16 sowie den Bus 20. Der 
sichere Teil umfaflt die Einheiten 17, 17', 18 , 18 f , die sich 
selbst und den Datenverkehr liber den Bus 2 0 mit einer sehr 
kleinen Wahrscheinlichkeit fiir nicht erkannte Fehler uberwa- 
chen . 



Die Dateniibertragung iiber den Bus 20 erfolgt mit einer bestimm- 
ten Geschwindigkeit , der sogenannten Datenubertragungsrate . Um 
eine Kommunikation der Busteilnehmer 12 , 14 zu ermoglichen, muJ3 
die von an den Bus angeschlossenen Busteilnehmern verwendete 
Datenubertragungsrate gleich sein. Eine Dateniibertragung mit 
unterschiedlichen Datenlibertragungsraten laBt das CAN-Bussystem 
11 nicht zu. 

Die Datenubertragungsrate muJ3 bei sicheren Bussystemen so grofi 
gewahlt werden, da!3 die Reaktionszeit der Busteilnehmer einen 
festgelegten Wert nicht uberschreitet . Die erwahnte Reaktions- 
zeit wird insbesondere auch durch die Verf ugbarkeit des Bus 20 
bestimmt. Hierbei gilt grundsatzlich , daJ3 die Belastung des 
Busses mit zunehmender Datenubertragungsrate abnimmt. Damit 
sinkt auch die Zeit, die ein Busteilnehmer 12 , 14 warten mufi, 
um liber den Bus 2 0 Daten zu iibertragen. 

Die maximal einstellbare Datenubertragungsrate wird jedoch be- 
grenzt durch die ortliche Ausdehnung des Busses 20. Mit zuneh- 
mender Lange des Busses 20 , d.h. mit zunehmendem Abstand der 
Busteilnehmer 12, 14 zueinander, verringert sich die zulassige, 
d.h. zuvor als sicher ermittelte Datenubertragungsrate bedingt 
durch die Eigenschaf ten der elektrischen Leitungen des Busses 
20. 

Um eine Einstellung der Datenubertragungsrate auf dem Bus 20 zu 
erreichen, ist erf indungsgemafl eine Zentraleinheit (auch Mana- 
gement Device genannt) vorgesehen. Diese Zentraleinheit 30 ist 
mit dem Bus 20 verbunden und kommt nur einmal im Bussystem 11 
vor. Sie ubernimmt damit die Einstellung der Datenubertragungs- 
raten fur alle am Bus 20 angeschlossenen Busteilnehmer 12 f 14. 



Selbstverstandlich ist es auch denkbar, dafl die Busteilnehmer 
12, 14 in Gruppen aufgeteilt sind und iiber die Zentraleinheit 
30 gruppenweise ansprechbar sind. 

Wie die Busteilnehmer 12, 14 ist auch die Zentraleinheit 30 in 
einen nicht sicheren Teil und einen sicheren Teil getrennt. Der 
nicht sichere Teil umfaJ3t ebenfalls einen Controller-Baustein 
16, der die Verwaltung der Dateniibertragung iiber den Bus 2 0 
ubernimmt. Neben diesem Controller-Baustein 16 ist ein redun- 
dantes defizitares System bestehend aus zwei Einheiten 31, 31 1 
vorgesehen. Die beiden Einheiten 31, 31' besitzen die gleiche 
Funktionalitat , die spater noch naher erlautert wird. 

In Fig. 2 ist der Aufbau der Einheit 31 dargestellt. Die Ein- 
heit 31 umfaJ3t eine Steuerungseinheit 33, die mit einer ersten 
Speichereinheit 35 verbunden ist. Die Speichereinheit 35 umfaBt 
mehrere Speicherzellen, um mehrere Daten ablegen zu konnen. 

Die Steuerungseinheit 33 ist ferner mit zwei weiteren Spei- 
chereinheiten 36, 37 verbunden, die zur Speicherung von soge- 
nannten Anmeldedaten ausgelegt sind. Die beiden Speichereinhei- 
ten 36, 37 sind ihrerseits mit einer Vergleichereinheit 38 ver- 
bunden, die ein Ausgangssignal an die Steuerungseinheit 33 lie- 
fert. Schliefllich ist die Steuerungseinheit 33 noch mit einem 
sogenannten Timerbaustein 39 versehen. 

Die Zentraleinheit 30 und insbesondere die Einheit 31 iibt nun 
die folgende Funktion aus, wobei zur Erlauterung auf das Ab- 
laufdiagramm gemafi Fig. 3 Bezug genommen wird. 



Beim Start des Bussystems 11 , d.h. beim Einschalten aller Bu- 
steilnehmer 12, 14 , 30 stellen die Controller-Bausteine 16 eine 
niedere vorgegebene Datenubertragungsrate , vorzugsweise 20 
kBaud ein. Dieser niedere Wert ( Def ault-Wert ) ist in einer 
Speicherzelle der Speichereinheit 35 der Zentraleinheit sowie 
in entsprechenden Speicherzellen (nicht gezeigt) der Busteil- 
nehmer 12 , 14 abgelegt. Der gewahlte Wert soil gewahrleisten, 
dafl samtliche am Bus 20 angeschlossenen Busteilnehmer 12 , 14 - 
unabhangig von der Ausdehnung des Busses 2 0 - kommunizieren 
konnen. Die elektrischen Eigenschaf ten der den Bus bildenden 
Leitungen sollen sich bei dieser geringen Datenubertragungsrate 
nicht negativ auswirken. 

Die Busteilnehmer 12, 14 ubertragen mit der niederen Datenuber- 
tragungsrate nun in dieser ersten Phase Datentelegramme liber 
den Bus 20, die alle an die Zentraleinheit 30 adressiert sind. 
Diese Datentelegramme beinhalten Daten, die eine Erkennung bzw. 
Identif ikation des sendenden Busteilnehmers 12, 14 erlauben. 
Diese sogenannten Anmeldedaten werden von der Zentraleinheit 30 
empfangen und in der zweiten Speichereinheit 36 abgelegt. Nach 
Ablauf einer bestimmten Zeitdauer, die durch den Timerbaustein 
39 bestimmt wird und ab dem letzten Abspeichern eines Anmelde- 
datums gemessen wird, liest die Steuerungseinheit 33 aus der 
ersten Speichereinheit 35 ein dort vor dem Einschalten des Bus- 
systems abgelegtes Datum aus. Dieses Datum reprasentiert einen 
Wert einer Datenubertragungsrate, die unter sicherheitsbezoge- 
nen Gesichtspunkten der maximal zulassigen Datenubertragungsra- 
te entspricht. Dieses Datum bzw. dieser Wert wird in ein Daten- 
telegramm verpackt und iiber den Bus 20 an alle Busteilnehmer 
12, 14 gesendet. 
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Die Busteilnehmer 12, 14 empfangen dieses Datentelegramm 
(beispielsweise ein sogenanntes Broadcast-Telegramm, das an al- 
le Teilnehmer adressiert ist) und verarbeiten die enthaltenen 
Nutzdaten derart, dafi sie die eingestellte Datenubertragungsra- 
te auf den neuen Wert umstellen. Das vorgenannte Datentelegramm 
wird von der Zentraleinheit 3 0 noch mit der niederen Datenuber- 
tragungsrate gesendet . 

Nach Empfang des Datentelegramms und dem Umsetzen der Daten- 
ubertragungsrate auf den grofleren Wert, vorzugsweise 200 - 250 
kBaud melden sich die Busteilnehmer 12, 14 erneut bei der Zen- 
traleinheit 30 an. Hierfur senden sie mit der hoheren Daten- 
libertragungsrate an die Zentraleinheit 30 adressierte Datente- 
legramme, die die Anmeldedaten enthalten. Diese Anmeldedaten 
werden in der dritten Speichereinheit 3 7 abgelegt. 

Sobald eine durch den Timerbaustein 39 erfaJBte Zeitdauer seit 
dem Eintreffen des letzten Datentelegramms einen bestimmten 
Wert uberschreitet , gibt die Steuerungseinheit 33 den Befehl an 
die Vergleichereinheit 38 die in den beiden Speichereinheiten 
36, 37 abgelegten Anmeldedaten miteinander zu vergleichen. 
Stellt sich dabei heraus, dafl sich nach dem Hochsetzen der Da- 
teniibertragungsrate bestimmte Busteilnehmer nicht erneut ange- 
meldet haben, schlietft die Steuerungseinheit 33 auf einen Feh- 
ler und schaltet das Bussystem sofort ab, so dafl die gesteuer- 
ten sicherheitskritischen Prozesse in einen sicheren Zustand 
uberfuhrt werden. 

Ein moglicher Fehler konnte beispielsweise darin bestehen, da/3 
ein Busteilnehmer fur die eingestellte hohere Dateniibertra- 
gungsrate zu weit entfernt von der Zentraleinheit 30 liegt. Urn 



diesen Fehler zu beheben, ist es notwendig, das Bussystem mit 
einer geringeren Datenubertragungsrate zu fahren. Ein solcher 
geringerer Wert ist in einer weiteren der Speicherzellen der 
Speichereinheit 35 abgelegt • 

Beim nachsten Neustart des Bussystems 11 , der durch das zuvor 
erlauterte f ehlerbedingte Abschalten notwendig wird, wird nun 
das vorgenannte Verfahren zur Einstellung der Datenubertra- 
gungsrate erneut durchgef iihrt , wobei allerdings als Wert fur 
die Datenubertragungsrate der nachste kleinere Wert aus der 
Speichereinheit 35 ausgelesen wird. Selbstverstandlich ist es 
auch denkbar, diesen kleineren Wert vor dem Neustart manuell an 
der Zentraleinheit 3 0 einzugeben und nicht auf abgelegte Werte 
zurlickzugreif en . 

Wird bei dem oben erwahnten Vergleich der in den beiden Spei- 
chereinheiten 36, 37 abgelegten Anmeldedaten eine Ubereinstim- 
mung f estgestellt , so kann das Bussystem 11 mit der eingestell- 
ten Datenubertragungsrate arbeiten. Alle Teilnehmer sind in der 
Lage, mit dieser Datenubertragungsrate zu kommunizieren . 

Urn die Sicherheit des Bussystems zu erhohen, wird durch die 
Zentraleinheit 30 zyklisch gepruft, ob alle anfangs registrier- 
ten Teilnehmer noch vorhanden, d.h. sende- und empf angsbereit 
sind. Diese Uberprufung wird dadurch durchgef iihrt , daJ3 die Zen- 
traleinheit 30 ein Datentelegramm iiber den Bus 20 verschickt, 
das das Kommando fur die Busteilnehmer 12, 14 enthalt, Anmelde- 
daten zuriickzusenden. Diese Anmeldedaten werden wiederum in der 
dritten Speichereinheit 37 abgelegt und nach Ablauf einer durch 
den Timerbaustein 3 9 vorgegebenen Zeitdauer mit den anfangs er- 
faflten Anmeldedaten verglichen. Eine Nicht-Ubereinstimmung der 



Anmeldedaten fuhrt zum sofortigen Abschalten des Bussystems 11 , 
wahrend eine Ubereinstimmung der Daten keine weiteren Aktionen 
nach sich zieht. 

Fur den Fall, dafi Busteilnehmer 12 , 14 wahrend des Betriebs des 
Bussystems 11 mit der hohen Datenubertragungsrate angeschlossen 
werden sollen, weisen die Einheiten 17, 17' , 18 und 18' eine 
Dateniibertragungsraten-Erkennungseinheit 4 0 auf. Diese Erken- 
nungseinheiten 4 0 dienen dazu, die auf dem Bus 20 vorhandene 
Datenubertragungsrate zu erkennen und den Controller-Baustein 
16 entsprechend einzustellen . Danach sendet der neue 
Busteilnehmer 12, 14 ein Datentelegramm an die Zentraleinheit 
30, urn sich dort anzumelden. Die entsprechenden Anmeldedaten 
werden in diesem Fall in der zweiten Speichereinheit 36 abge- 
legt. Bei der nachsten zyklischen Uberpriifung, ob alle Busteil- 
nehmer sende- und empf angsbereit sind, werden dann die Anmelde- 
daten des neu angeschlossenen Busteilnehmers in der dritten 
Speichereinheit 37 abgelegt, so daB der Vergleich zu einer 
Ubereinstimmung fuhren kann. 

Wie bereits erwahnt, umfaflt die erste Speichereinheit 35 eine 
Vielzahl von Speicherzellen, die unterschiedliche Werte fur 
Dateniibertragungsraten aufnehmen konnen. Diese Dateniibertra- 
gungsraten lassen sich vor Inbetriebnahme der Zentraleinheit 30 
eingeben. Selbstverstandlich ist es auch denkbar, diese Daten 
wahrend des Betriebs zu verandern. Typische Werte fur abgespei- 
cherte Dateniibertragungsraten sind 20 kBaud als Standard- 
Startwert, 50 kBaud, 100 kBaud, 125 kBaud, 150 kBaud, 200 
kBaud, 250 kBaud und 500 KBaud. Selbstverstandlich sind auch 
andere Abstufungen denkbar. 



Es zeigt sich nach alledem, da!3 das erf indungsgemaJ3e Feldbus- 
system eine sehr einfache Einstellung definierter sicherer Da- 
teniibertragungsraten fiir alle Busteilnehmer ermoglicht. Die ma- 
nuelle Einstellung der Busteilnehmer entfallt somit. Daruber 
hinaus werden auch wahrend der Einstellung einer Dateniibertra- 
gungsrate alle fiir die Sicherheit wichtigen Werte f wie Reakti- 
onszeiten, Ubertragungsf ehler , Timeouts, etc, sicherheitsrele- 
vant uberwacht. Veranderungen der Leistungsdaten des Bussystems 
haben deswegen keinen EinfluB. 

Es versteht sich f da/3 die Funktionalitat der Zentraleinheit 30 
mit der Funktionalitat anderer Busteilnehmer kombiniert werden 
kann, ohne den Rahmen der Erfindung zu verlassen. Es ist denk- 
bar, die Zentraleinheit 30 in eine Steuereinheit 13 zu inte- 
grieren. Daruber hinaus ist es durchaus moglich, die Einheit 31 
in einer anderen als in Fig. 2 gezeigten Weise aufzubauen, um 
die gleich Funktionalitat zu erzielen. 



Patentanspruche 



Verfahren zur Einstellung einer Datenubertragungsrate in 
einem Feldbussystem (10), das zur Steuerung sicherheits- 
kritischer Prozesse geeignet ist und das zumindest einen 
an einen Feldbus (20) angeschlossenen Teilnehmer (12,14) 
umfaflt, dadurch gekennzeichnet , daJ3 sich der/die Teilneh- 
mer in einer ersten Phase mit einer niederen ersten Daten- 
ubertragungsrate bei einer zentralen am Feldbus ange- 
schlossenen Einheit (30; Zentraleinheit ) anmelden; und daJS 
die Zentraleinheit (30) in einer zweiten Phase die Daten- 
ubertragungsrate bei dem/den Teilnehmer ( n ) (12,14) auf ei- 
nen vorgegebenen hoheren zweiten Wert setzt. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB 
sich der/die Teilnehmer (12, 14) in einer dritten Phase 
mit der hoheren Datenubertragungsrate erneut bei der Zen- 
traleinheit anmelden; und dafl die Zentraleinheit (30) den 
Feldbus (20) abschaltet, wenn sie eine Abweichung der An- 
zahl der in der ersten und der dritten Phase angemeldeten 
Teilnehmer (12,14) feststellt. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 
da/3 die erste Phase mit dem Einschalten des Feldbussystems 
(10) gestartet wird. 
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4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeich- 
net, da!3 die Zentraleinheit (30) in der zweiten Phase an 
alle Teilnehmer (12,14) Datentelegr amme sendet, die den 
Befehl zur Umschaltung der Dateniibertragungsrate auf den 
zweiten Wert enthalten. 

5. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daJ3 die Zentraleinheit (30) die dritte 
Phase beendet, wenn seit der letzten Anmeldung eines Teil- 
nehmers (12, 14) eine vorgegebene Zeitdauer ohne neue An- 
meldung eines Teilnehmers vergangen ist. 

6. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daJ3 der erste Wert der Dateniibertragungs- 
rate der Standard-Ubertragungsrate und der zweite Wert dem 
Zielwert des Feldbussystems entspricht. 

7. Verfahren nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dai3 ein nach Ablauf der dritten Phase mit 
dem Feldbus (20) verbundener neuer Teilnehmer (12, 14) die 
Dateniibertragungsrate auf dem Feldbus (20) erfaJ3t und sich 
mit dieser Dateniibertragungsrate bei der Zentraleinheit 
(30) anmeldet. 

8. Feldbussystem zur Steuerung sicherheitskritischer Prozes- 
se, mit einem Feldbus (20), an dem zumindest ein Teilneh- 
mer (12, 14) angeschlossen ist, dadurch gekennzeichnet, 
daJ3 eine Zentraleinheit (30) vorgesehen ist, die iiber den 
Feldbus (20) mit den Teilnehmern (12, 14) kommuniziert und 
eine Umschalteinrichtung (33) umfaBt, urn die Dateniibertra- 
gungsrate auf dem Feldbus und bei den Teilnehmern von ei- 
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nem ersten niederen Wert auf einen zweiten hoheren Wert 
zentral umzustellen . 

9. Feldbussystem nach Anspruch 8, dadurch gekennzeichnet , dafl 
die Zentraleinheit einen erste Speichereinheit (35) auf- 
weist, in der der erste und der zweite Wert der Dateniiber- 
tragungsrate abgelegt sind. 

10. Feldbussystem nach Anspruch 8 oder 9, dadurch gekennzeich- 
net, daJ3 die Zentraleinheit (30) eine zweite und eine 
dritte Speichereinheit (36, 37) zur Speicherung von Anmel- 
dedaten umfaJ3t, wobei die am Feldbus (20) angeschlossenen 
Teilnehmer (12, 14) die Anmeldedaten liefern. 

11. Feldbussystem nach Anspruch 10, dadurch gekennzeichnet, 
da/3 die Zentraleinheit (30) eine Vergleichereinrichtung 
(38) umfa/it, die die in der zweiten und der dritten Spei- 
chereinheit (36, 37) gespeicherten Anmeldedaten ver- 
gleicht, wobei die Zentraleinheit (30) bei einer Nicht- 
ubereinstimmung eine Abschaltung des Feldbusses (20) 
durchf uhrt . 

12. Feldbussystem nach Anspruch 11, dadurch gekennzeichnet, 
daB die Zentraleinheit (30) eine Zeitmesseinrichtung (39) 
umfaflt, die mit der Vergleichereinrichtung (38) verbunden 
ist und den Vergleich nach Ablauf einer vorgegebenen Zeit 
seit dem Hochsetzen der Dateniibertragungsrate initiiert. 



13. 



Feldbussystem nach einem der Anspriiche 8 bis 12, dadurch 
gekennzeichnet, dafl der Feldbus (20) ein serieller Bus 
ist . 
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14. Feldbussystem nach einem der Anspruche 8 bis 13, dadurch 
gekennzeichnet , daB der Feldbus (20) ein CAN-Bus (11) ist. 

15. Feldbussystem nach einem der Anspruche 8 bis 14, dadurch 
gekennzeichnet, daJ3 der Teilnehmer (12, 14) eine Erken- 
nungseinrichtung (40) aufweist, die die Datenubertragungs- 
rate auf dem Feldbus erfaflt und die Datenubertragungsrate 
des Teilnehmer s (12, 14) in Antwort darauf einstellt. 
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